Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Puede habilitar el Servicio de registro de dispositivos (DRS) en el servidor de federación después de completar los procedimientos descritos en paso 4: Configurar un servidor de federación. El servicio de registro de dispositivos proporciona un mecanismo de incorporación para la autenticación de segundo factor sin problemas, el inicio de sesión único (SSO) persistente y el acceso condicional a los consumidores que requieren acceso a los recursos de la empresa. Para obtener más información sobre DRS, consulte Unirse a la red de trabajo desde cualquier dispositivo para SSO y autenticación de segundo factor fluida en las aplicaciones de la empresa.
Prepare el bosque de Active Directory para admitir dispositivos
Nota:
Se trata de una operación única que debe ejecutar para preparar el bosque de Active Directory para admitir dispositivos. Debe iniciar sesión con permisos de administrador de empresa y el bosque de Active Directory debe tener el esquema de Windows Server 2012 R2 para completar este procedimiento.
Además, DRS requiere que tenga al menos un servidor de catálogo global en el dominio raíz del bosque. El servidor de catálogo global es necesario para ejecutar Initialize-ADDeviceRegistration y durante la autenticación de AD FS. AD FS inicializa una representación en memoria del objeto de configuración DRS en cada solicitud de autenticación y, si no se encuentra el objeto de configuración de DRS en un controlador de dominio en el dominio actual, la solicitud se intenta en el controlador de dominio en el que se aprovisionaron los objetos DRS durante Initialize-ADDeviceRegistration.
Para preparar el bosque de Active Directory
En el servidor de federación, abra una ventana de comandos de Windows PowerShell y escriba:
Initialize-ADDeviceRegistrationCuando se le solicite ServiceAccountName, escriba el nombre de la cuenta de servicio que seleccionó como cuenta de servicio para AD FS. Si es una cuenta de gMSA, escriba la cuenta en el formato domain\accountname$ . Para una cuenta de dominio, use el formato domain\accountname.
Habilitación del servicio de registro de dispositivos en un nodo de granja de servidores de federación
Nota:
Debe iniciar sesión con permisos de administrador de dominio para completar este procedimiento.
Para habilitar el servicio de registro de dispositivos
En el servidor de federación, abra una ventana de comandos de Windows PowerShell y escriba:
Enable-AdfsDeviceRegistrationRepita este paso en cada nodo de federación de su granja de AD FS.
Habilitación de la autenticación de segundo factor sin problemas
La autenticación de segundo factor sin problemas es una mejora en AD FS que proporciona un nivel adicional de protección de acceso a recursos corporativos y aplicaciones de dispositivos externos que intentan acceder a ellos. Cuando un dispositivo personal está unido a Workplace, se convierte en un dispositivo "conocido" y los administradores pueden usar esta información para impulsar el acceso condicional y el acceso de puerta a los recursos.
Para habilitar la autenticación de segundo factor sin interrupciones, el inicio de sesión único (SSO) persistente, y el acceso condicional en dispositivos unidos a Workplace
- En la consola de administración de AD FS, vaya a Directivas de autenticación. Seleccione la opción Editar autenticación principal global. Active la casilla situada junto a Habilitar autenticación de dispositivos y, a continuación, haga clic en Aceptar.
Actualización de la configuración del proxy de aplicación web
Importante
No es necesario publicar el servicio de registro de dispositivos en el proxy de aplicación web. El servicio de registro de dispositivos estará disponible a través del proxy de aplicación web una vez habilitado en un servidor de federación. Es posible que tenga que completar este procedimiento para actualizar la configuración del proxy de aplicación web si se implementó antes de habilitar el servicio de registro de dispositivos.
Para actualizar la configuración del proxy de aplicación web
En el servidor proxy de aplicación web, abra una ventana de comandos de Windows PowerShell y escriba
Update-WebApplicationProxyDeviceRegistrationCuando se le pidan credenciales, escriba las credenciales de una cuenta que tenga derechos administrativos para los servidores de federación.